Estados Unidos está presionando a España y a un grupo de gobiernos para que se comprometan públicamente a no pagar rescates a los cibercriminales, antes de una reunión anual de más de 45 naciones en Washington que se va a celebrar a finales de este mes. Los pagos a piratas informáticos están generando más ataques, y según la asesora adjunta de la Seguridad Nacional estadounidense, Anne Neuberger, tiene «increíbles esperanzas» en conseguir el apoyo para tal declaración, aunque reconoció que es una «decisión política difícil». La cumbre anual sobre ciberseguridad, en la que España participa desde el año 2021, pretende en esta ocasión llegar a una Iniciativa Internacional Contra el Ransomware (CRI).
Antes de la reunión de los Estados, si los miembros no pueden ponerse de acuerdo sobre la declaración, entonces se incluirá como punto de discusión para tratar el tema y buscar un acuerdo. La Casa Blanca va a instar a los gobiernos asistentes a emitir un compromiso político conjunto anunciando que no pagarán rescates a los ciberdelincuentes. El objetivo de la declaración es cambiar esa deriva, según ha manifestado Neuberger, quien ha afirmado con contundencia que «los pagos de rescate son lo que impulsa el ransomware. Esa es la razón por la que creemos que es tan necesario el acuerdo», y continuó afirmando que «hay que ir a la raíz del problema, porque la causa fundamental es el dinero».
A la reunión están convocados inicialmente Australia, Austria, Bélgica, Brasil, Bulgaria, Canadá, Croacia, República Checa, República Checa, Estonia, Francia, Alemania, India, Irlanda, Israel, Italia, Japón, Kenia, Lituania, México, los Países Bajos, Nueva Zelanda, Nigeria, Noruega, Polonia, República de Corea, Rumanía, Singapur, Sudáfrica, España, Suecia, Suiza, Emiratos Árabes Unidos, Reino Unido, Estados Unidos, Ucrania y Bélgica, además de la Unión Europea como entidad global. Se espera que esta declaración se aplique a los gobiernos y no a las empresas que regularmente son víctimas de ataques de ransomware. Neuberger indicó que sería un primer paso hacia un esfuerzo más amplio para frenar los pagos de rescate a los piratas informáticos.
«los pagos de rescate son lo que impulsa el ransomware. Esa es la razón por la que creemos que es tan necesario el acuerdo»
Según la representante americana, «hoy en día no existe una norma global sobre esta pregunta: ¿Deben realizarse pagos de rescate durante un ciberataque?». Según añadió, creen que lo idóneo sería «llevar esto a un proceso de la ONU para una nueva norma, pero podemos tratar de trabajarlo directamente en esta asociación internacional. El objetivo de la reunión es «que un ataque no pueda repetirse una y otra vez», afirmó Neuberger.
The Record, la publicación de la firma de ciberseguridad Recorded Future, ya había informado con anterioridad sobre la presión de Estados Unidos para que los gobiernos emitan una declaración de no pagar rescates. Las secretaria de Seguridad nacional de EE.UU., que ha asistido a la recientemente celebrada Semana Cibernética Internacional de Singapur, también está presionando para que se divulguen más las transacciones de criptomonedas y así ayudar a frenar el lavado de dinero. Quiere ampliar el número de países que implementan reglas para romper el velo de trasparencia de las empresas de criptomonedas, al menos de forma voluntaria.
EL RANSOMWARE, LA MINA DE ORO DEL CIBERCRIMEN
El ransomware es un tipo de código malicioso que cifra los archivos de la computadora de una víctima, esencialmente dejándolos inútiles. Luego, los piratas informáticos exigen un pago para proporcionar una clave para desbloquearlos. Otro tipo popular de ataque de extorsión implica que los piratas informáticos roben documentos confidenciales de una víctima y exijan un pago para no publicarlos en línea. Estos ataques de rescate han ganado popularidad en los últimos años, en parte porque son muy rentables para los piratas informáticos, ya que las víctimas a menudo entienden que es más fácil pagar el rescate y restaurar las operaciones que rechazar las demandas de los piratas informáticos.
Según un informe de la Agencia Europea de la Ciberseguridad (ENISA), en el 94,2% de los incidentes, no sabemos si la empresa pagó el rescate o no. Sin embargo, cuando la negociación falla, los atacantes suelen exponer y publicar los datos en sus páginas web. Esto es lo que ocurre en general y es una realidad en el 37,88% de las incidencias estudiadas durante un año en 2022, lo que significa que el 62,12% restante de las empresas llegaron a un acuerdo con los atacantes o encontraron otra solución.
Según datos de la aseguradora Hiscox, el 49 % de las empresas españolas paragaron un rescate tras un ciberataque de ransomwere en 2022 en una o más ocasiones para recuperar los datos robados, y para evitar que datos confidenciales se publicaran pagó otro 42%. El coste medio de recuperación del ransomware para las empresas españolas, incluso sin incluir los pagos por los rescates, aumentó un 88% el año pasado, ya que pasó de 10.415 euros en 2021 a 19.549 euros de media. Ya en enero de este año, un
Los ataques que se dan a conocer suelen ser los que afectan a instituciones públicas, que no pueden ni deben ocultar sus efectos. En España este último año se han conocido el ciberataque al Hospital Clínic de Barcelona en marzo, por el que se pedía un rescate de alrededor de 4,25 millones de euros, o el más reciente ciberataque al Ayuntamiento de Sevilla en septiembre, por el que los ciberdelincuentes demandaban 5 millones de euros.
Ya en enero de este año, un informe de Chainalysis indicaba que las empresas y organizaciones españolas cada vez eran más vulnerables al cifrado de datos en un ataque de ransomware, por encima de la media mundial y que 8 de cada 10 entidades españolas fueron atacadas por ransomware en 2022, y de ellas el 81% vieron sus datos cifrados. Las estimaciones de esta plataforma de datos en 2021, se pagaron unos 722 millones de euros a nivel global, pero en 2022 bajó la cifra pago a algo más de los 430 millones de euros.
Las instituciones públicas tienen más difícil justificar estos pagos, porque manejan dinero público. Pero las empresas privadas hacen con su dinero lo que quieren, y antes que invertir en ciberseguridad paracen preferir pagar lucrativos rescates que fomentan que este tipo de cibercrimen se siga produciendo, aumente y sea más que rentable para los ciberdelincuentes. Avanzar en una legislación quie obligue a publicitar estos indidentes y que castigue el pago de los rescates podría llegar a mermar la incidencia del problema.
ESPAÑA EN LA CUMBRE DESDE QUE SE CELEBRA
La administración Biden estableció una cumbre internacional anual para abordar el ransomware en 2021, una reunión de líderes de ciberseguridad de diferentes naciones que se reunieron para colaborar en formas de frenar los ataques. La primera cumbre se produjo meses después de un ciberataque contra Colonial Pipeline Co. interrumpió el suministro de combustible a lo largo de la costa este de EE. UU. y sirvió como una amplia llamada de atención sobre los peligros del ransomware. Desde la primera reunión, el número de participantes se ha ampliado de 31 países a más de 45.
Han pasado ya dos años del ataque a Colonial Pipeline, una serie de ataques de ransomware disruptivos en hospitales, industrias manufactureras y casinos en los últimos meses muestra que aún es necesario hacer más para frenar el crimen, y «vamos a erradicar el fantasma del Colonial Pipeline”, con lo que Neuberger explica la intención detrás de la reunión del finales de este mes de octubre, elegido como mes de la ciberseguridad en todo el mundo.
hay mucho más por hacer antes de que se puedan prohibir los pagos de extorsión. Las fuerzas del orden tienen que volverse más agresivas con los actores de amenazas y aplicarles justicia
Expertos como el director de tecnología de la consultora estafounidense Mandiant Consulting, Charles Carmakal, cree que una prohibición total aún está lejos de ser factible. Según declaró recientemente, «hay mucho más por hacer antes de que se puedan prohibir los pagos de extorsión. Las fuerzas del orden tienen que volverse más agresivas con los actores de amenazas y aplicarles justicia».
Desde la administración estadounidense admiten que los avances en los estándares de ciberseguridad, la preparación y las intervenciones más fuertes de las autoridades hacen que ahora sea más factible no pagar rescates. Cada vez más empresas están haciendo copias de seguridad para poder restaurar sus sistemas si son pirateados, y que las políticas de las compañías de seguros están incentivando estándares más altos de ciberseguridad.
El Reino Unido co-lidera un esfuerzo con Singapur para contrarrestar las finanzas ilícitas en su iniciativa contra el ransomware. Por su parte, Estados Unidos quiere que los gobiernos de todo el mundo establezcan estándares de etiquetado de ciberseguridad para que los consumidores puedan evaluar, antes de realizar compras, si son seguros son los dispositivos conectados a Internet, como monitores para bebés y alarmas domésticas. Por esta razón se anunció a principios de este año una propuesta para un esfuerzo voluntario de etiquetado de ciberseguridad para dispositivos conectados a Internet. El objetivo es tener etiquetas en estos dispositivos de Internet de las cosas” (IoT) en las tiendas a tiempo para la Navidad de 2024.